Múltiples vulnerabilidades en Liferay Portal

Fecha de publicación 20/03/2020

Importancia

5 - Crítica

Recursos Afectados

Liferay Portal, versión 6.2.5 y anteriores;
Liferay Portal, versión 7.0.0 y anteriores.

Descripción

Liferay ha detectado dos vulnerabilidades de severidad crítica que afectan a sus productos. Un atacante remoto, autenticado, podría ejecutar código arbitrario o revelar información.

Solución

Liferay Portal 6.2.5, aplicar el parche de seguridad disponible en GitHub.
Liferay Portal 7.0.0, no hay parche disponible. Desde Liferay recomiendan actualizar a la versión Liferay Portal 7.0.1 o posterior.

Detalle

Una vulnerabilidad existente en las plantillas DDM en Liferay Portal 6.2.5 y anteriores, podría permitir a un atacante remoto, autenticado, con permisos de creación y edición de plantillas, visualizar cualquier archivo legible por el proceso JVM del portal.
Una vulnerabilidad existente en la plantilla DDM en Liferay Portal 7.0.0 y anteriores, podría permitir a un atacante remoto, autenticado, con permisos de edición y creación de plantillas, generar plantillas que pueden ejecutar código arbitrario.

Listado de referencias

nullCST-6238 Remote file disclosure with DDM templates

CST-7064 Remote code execution vulnerability in templates

Etiquetas